Riscurile convergenței IT și OT

Lumile tehnologiei informației (IT) și tehnologiei operațiunilor (OT) s-au separat. Rețelele IT interconectează PC-urile, centrele de date și rețelele publice, iar rețelele OT interconectează mașinile industriale, ținând rețelele OT izolate și departe de atacurile cibernetice care afectează IT-ul.

Însă, a apărut tendința convergerii rețelelor IT și OT într-o infrastructură fizică bazată pe protocolul IP. Această convergență a expus și rețelele OT la atacuri cibernetice.

Un atac care afectează un birou poate provoca daune semnificative, dar backup-urile atenua eficient. Însă atacurile care afectează producția sau infrastructura critică aduce daune imediate, se pot extinde rapid și nu pot fi rezolvate cu ușurință.

Sursa atacurilor principiul principal la construirea sistemului defensiv; majoritatea atacurilor cibernetice vin de pe internet. Deoarece rețeaua de afaceri se conectează la rețeaua publică, se deschid uși pentru nenumărate atacuri.

Sistemele convenționale de apărare IT protejează granița dintre rețelele private și cele publice. Abordarea obișnuită este un firewall, de preferință cu capabilități UTM (Unified Threat Management).

Însă, și alte „granițe” ale rețelei pot fi suprafețe de atac. Acestea sunt adesea mai puțin protejate și pot expune rețeaua la riscuri inutile. Într-o rețea OT, orice dispozitiv conectat (senzor IoT sau cameră IP), poate să atace rețeaua din interior.

Principala problemă a atacurilor cibernetice din interiorul rețelei este că se deplasează orizontal (de la dispozitiv la dispozitiv), ajungând la firewall atunci când comunică cu serverul lor de comandă.

Există arhitecturi de securitate superioare unui singur firewall. Două arhitecturi pot îmbunătăți protecția, dar de obicei sunt impracticabile din motive de cost sau performanță:

1. Utilizați un singur firewall prin care este redirecționat tot traficul din rețea.
2. Împărțiți rețeaua în subrețele, fiecare cu firewall dedicat.

Trebuie ținut cont și de cel mai bun răspuns daca un dispozitiv conectat este infectat. În funcție de arhitectură, poate dura mult până când firewall-ul detectează atacul. Aceasta, pentru că firewall-urile împiedică atacurile să treacă o graniță, dar nu pot preveni răspândirea laterală.

În scenariul obișnuit, când atacul este detectat, firewall-ul informează IT-ul, iar echipa trebuie să acționeze rapid pentru a evita daunele.

Problemele cauzate sunt în responsabilitatea echipei IT, deci sunt legate de timpii de răspuns. Însă, când oamenii sunt sub presiune, există potențialul de eroare. Adesea, pot provoca întârzieri și daune suplimentare sau pot lăsa vulnerabilități nedetectate.

Timpul de răspuns poate depinde de mulți factori: complexitatea rețelei, experiența grupului IT, etc. Atacurile cibernetice sunt adesea lansate seara sau în weekend, când echipa IT nu este prezentă.

Prejudiciul companiei este direct proporțional cu timpul necesar pentru reabilitarea securității rețelei. Identificarea sursei și remedierea situației poate dura mult. Pe lângă impactul economic, deteriorarea reputației, a relațiilor de afaceri și, în cazul infrastructurii critice, poate fi și riscul pentru viața umană.

Soluția este reducerea intervalului de la detectarea atacului până la siguranță, prin automatizarea rețelei, ce îi permit să se apere și să evite întârzierile tipice intervenției umane. Cu alte cuvinte, „auto-apărare”.

Pentru ca o rețea de autoapărare să fie autonomă, elementele implicate trebuie să colaboreze. Principalele cerințe sunt:

• Sistem eficient de detectare bazat pe abordare multidisciplinară, în care firewall-urile cu instrumente integrate bazate pe AI pot detecta toate amenințările, inclusiv atacurile „zero-day” nerecunoscute.
• Adaptor inteligent, capabil să interpreteze alertele detectate și să decidă cum să reacționeze. AMF-Sec de la Allied Telesis se integrează cu majoritatea firewall-urilor și poate bloca portul cu fir sau wireless la care este conectat dispozitivul, redirecționează traficul către un VLAN sigur sau poate alerta administratorul.
• Rețea programabilă care primește instrucțiuni de la adaptor și le implementează imediat. Instrucțiunile pot folosi protocoale standard, ca OpenFlow, care necesită o dezvoltare personalizată, sau o soluție de automatizare a rețelei standard, ca Autonomous Management Framework (AMF) care funcționează perfect cu AMF-Sec.

Această soluție este eficientă deoarece comutatoarele de rețea trimit o copie a traficului lor către firewall pentru a o inspecta, rezolvând mai multe probleme cu alte modele:

1. Inspectând tot traficul de la comutatoare, firewall-ul poate detecta amenințările care se deplasează lateral.
2. Firewall-ul nu introduce latență, deoarece inspectează o copie a traficului, neafectând performanța rețelei.
3. Un singur firewall poate fi folosit pentru o soluție mai practică și mai rentabilă pentru subrețele.

În securitate, prevenția este necesară, dar un atac poate ocoli apărarea. Reacția trebuie să fie promptă la orice situație. Trebuie evitată intervenția manuală, deoarece întârzierile și erorile pot aduce alte daune și costuri.

Un sistem automat inteligent este singura soluție pentru a crea o rețea de auto-apărare care se poate proteja imediat și independent de intervenția umană.